安全問題是大多數網站建設初創(chuàng)企業(yè)不愿在其項目中使用開源網站（OSS）的主要原因。當項目代碼的一部分打開時，它似乎容易受到安全威脅，并且更有可能被復制。在本文中，我們將揭露有關開源解決方案安全性的一些常見神話。

1、任何人都可以閱讀開放代碼并利用錯誤

雖然原則上可以閱讀和破壞開放源代碼，但實際上情況要復雜得多。

首先，根據專家的意見，破壞網站的人實際上不需要查看源代碼。對于經驗豐富的開發(fā)人員，無需深入研究成千上萬行代碼來查找易受攻擊的代碼。那么為什么人們聲稱開源代碼是不安全的呢？

實際上，任何類型的代碼（封閉源代碼或開放源代碼）都會給產品帶來安全威脅。最終，使開源代碼安全或不安全的是開發(fā)人員。不安全性是由于許多錯誤引起的，例如：

（1）不遵循安全準則

（2）設置網站不當

（3）使用簡單的密碼

（4）缺乏數據驗證流程

（5）缺乏數據加密技術

這種情況在實踐中變得更加復雜的第二個原因是，任何人都可以閱讀代碼的事實實際上增加了您發(fā)現和修復錯誤的機會。通常，開源項目擁有充滿活力的社區(qū)，這些社區(qū)不斷支持它們并檢查它們的缺陷。此外，開發(fā)人員關心自己的聲譽，并希望展示根據最佳實踐編寫的代碼，并希望找到并修復潛在的安全漏洞。

2、沒有經濟激勵手段就沒有動機確保OSS的安全

實際上，許多成功的開源產品已經為其背后的團隊帶來了收益。例如，Mozilla從Firefox中獲得很大一部分收入，用于用戶點擊搜索頁廣告。這種能力的大多數項目都有自己的安全響應團隊，專門致力于修補漏洞。

對于無法盈利的開源工具，發(fā)現漏洞時，開源項目團隊通常會立即修復該漏洞（因為聲譽受到威脅），或公開披露問題，以便所有實施此漏洞的人代碼可以采取適當的措施-例如，關閉易受攻擊的功能或設置其他硬件和網站，以避免在修復之前使用受影響的功能。

就開發(fā)開源網站的動機而言，OSS社區(qū)中的每個開發(fā)人員都有動機提供沒有重大缺陷的高質量產品，以證明自己的能力。另一方面，企業(yè)通常在許多方面受到限制（金錢，時間，業(yè)務目標等），因此實際上可能會限制他們在產品安全方面的投資額。由于開放源代碼開發(fā)人員出于個人動機去從事他們選擇的項目，因此結果是一個完整的開發(fā)過程，公開發(fā)布的漏洞更少。

3、專有網站在本質上比開源網站更安全

這個神話來自許多偏見。但是商業(yè)許可證不能保證安全。與專有網站不同，開源項目對潛在漏洞透明。使用付費網站，您只需要信任供應商。使用OSS，您還可以參與代碼審查，然后堅持使用先前的版本，發(fā)布自己的補丁，甚至在懷疑的情況下禁用某些功能，直至另行通知。

在本文的開頭，我們提到了從事開源項目的大量人員的好處：他們更有可能迅速找到并修復錯誤。相反，專有網站團隊通常由較少的人員組成，并不總是包括幫助消除漏洞的必要專家，例如QA工程師。

那么開源網站實際上比專有網站更安全嗎？

開源網站天生就更安全嗎？當然不是。您需要分別查看每個網站的安全性和聲譽。

要調查產品的安全性，您始終可以查看其版本歷史記錄并查看以前的安全性問題。也許您甚至會找到一個獨立的機構來擔保產品的安全性，或者是證明產品可靠性的證書，或者是一位受人尊敬的同事，可以向您保證產品是市場上的最佳選擇。

此外，您還可以查看競爭對手，合作伙伴和行業(yè)內知名公司使用的工具。僅此就很好地表明了該框架對于初創(chuàng)企業(yè)足夠可靠。

可能情況是，最適合您的選擇是專有網站建設，或者專有和開源工具的混合（例如，Facebook和Google采取的一種流行方法）。重要的是您要根據研究做出決定，并避免基于偏見做出決定。